（应用数学专业论文）网络结点安全加固.pdf

山东大学硕士学位论文 图目录 图2 1c c 的评估关系2 2 图2 2 基于网络数据包的入侵检测2 6 图2 3 典型的基于误用的入侵检测系统2 6 图2 4 典型的基于异常的入侵检测系统2 7 图4 1 安全操作系统逻辑结构4 0 图4 2w i n d o w s 操作系统关键组件4 l 图4 3w i n d o w s 操作系统加固原理4 2 图4 4 基于策略的强制访问控制4 3 图4 5l i n u x 强制访问控制机制：4 7 图5 1 服务器安全集中管理总体架构5 0 图5 2 系统策略处理流程5 2 图5 3 网络策略处理流程5 3 图5 4 事件生命周期5 4 图5 5 信息安全事件处理流程5 4 图5 6 服务器安全集中管理功能结构5 9 图5 7 系统框架组合6 0 图5 8 集中部署方式6 l 3 电客大学硕士学位论文 缩略语说明 简称英文全称 u t mu n i f i e dt h r e a tm a n a g e m e n t 删 v i r t u a lp r i v a t en e t w o r k t c mt r u s t e dc r y p t o g r a p h i cm o d u l e t c bt r u s t e dc o m p u t i n gb a s e t c pt r u s t e dc o m p u t i n gp l a n t f o r m s o c s e c u r i t yo p e r a t i o nc e n t e r 中文翻译 统一威胁管理 虚拟专用网络 可信平台模块 可信计算基 可信计算平台 安全运营中心 c cc o m m o nc r i t e r i af o ri ts e c u r i t ye v a l u a t i o n 通用信息技术安全评价标准 p p s t p r o t e c t i o np r o f i l e i d si n t r u s i o nd e t e c t i o ns y s t e m l s ml i n u xs e c 毯d 毋m o d u l e 保护轮廓 安全目标 入侵检测系统 l i n u x 安全模块 r o s tr e i n f o r c e m e n to p e r a t i n gs y s t e mt e c h n i q u e 操作系统加固技术 w m i w i n d o w sm a n a g e m e n ti n f r a s t r u c t u r ew i n d o w s 管理规范 i 0 原刨性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研 究作出重要贡献的个人和集体，均已在文中以明确方式标明。本声明 的法律责任由本人承担尊 论文作者签名：鱼玛益 e l期s 丝盂：量：厶 关于学位论文使用授权的声明 本人同意学校保留或向国家有关部门或机构送交论文的印刷件 和电子版，允许论文被查阅和借阅；本人授权出东大学可以将本学位 论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩 印或其他复制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：童粤左导师签名： 山东大学硕士学位论文 摘要 信息安全是多方位的，从结构上大致可分为网络安全与网络结点安全，这两 方面相互关联，其中网络缩点安全是构建信息安全的基础，是业务运行与信息存 储最基本熊平台。瓤信息安全本质上是安全风险的管理，绝对的安全是不存在的。 我们期望能够设计一种可信的网络结点：它按照预定的目的总是实施可以预知的 行为。当网络结点以这种可控的方式运行时就能最大程度地降低安全风险，保护 系统的安全状态。通过软硬两种技术集成，可以戈系统运行建立可信任的起点， 并提供收集、存储和度量系统安全性状态信息的相关机制。本文通过分析网络结 点各个方面常见安全危害后，总结出网络结点需要防范的安全隐患，提出网络结 点的安全模型并给澎该安全模型的解决方案。最后详细阐述网络结点安全模型中 操作系统方面安全防范技术研究和服务器安全集中管理的设计与实现。 本文的主要研究成果创新包括以下几个方面： 王、 提出网络结点安全模型：网络中的结点有两类：转接结点和访阍结点。 通信处理机、集中器和终端控制器等属于转接结点。主机计算机和终端等是访问 结点，它们是信息传送的源结点和目标结点。幽于访问结点承担着信息存储和运 算工作，尤力复杂，凡乎所有的安全闻题都出现在访翘结点。本文主要围绕访阕 节点进行阐述，亦即通常所指的网络终端，主要包括：工作站和服务器等终端设 备。这里首先分析针对网络结点的各种攻击手法，网络结点的安全隐患，提出网 络结点的安全模型。借鉴可信计算的理念把安全阂题躲结关于网络结点安全的遥 个方面：物理安全、网络安全、系统安全、管理安全。为信息存储与运算提供一 个安全的平台，解决信息系统面临的日益严峻的安全威胁。 2 、针对邋前流行的操作系统所存在的安全威胁和安全隐患，分析两种操作 系统安全防范的主要途径及其优缺点，提出操作系统加固原理。通过钩子函数实 现对文件、目录、注册表、进程和服务的强制访问控制，增强操作系统整体安全 水平。 3 、设计与实现网络结点安全集中管理：首先分析目前存在的复杂的安全管 理、安全事件的收集与分祈、安全事故响应处理三个方面存在各种问题。提出并 设计与实现耪新型的整体安全管理解决方案一安全集中管理平台，以总体配 6 山东大学硕士学位论文 置、调控整个结点的多层次、分布式的安全系统，实现对网络结点中物理层，网 络层，系统层的数据信息使用的权限分配，操作管理员行为审计与安全事件的分 析与统计等功能进行集中监控、统一策略的管理。以网络最基本结点服务器为例， 从总体架构、核心模块( 策略管理、安全事件) 、性能瓶颈和技术路线四方面详 细阐述服务器安全集中管理的系统设计和实现。 关键词：网络结点安全模型；操作系统加固原理；网络结点安全集中管理 7 由东大学硕士学位论文 皇皇曼量曼燃鼍舅曼舅黑鼍墨量董鼎皇曼皇晕量i ihui,i l l l l 量_ a b s t r a c t i n f o r m a t i o ns e c u r i 够i sv e r s a t i l e ，a n ds t r u c t u r a l l yf a l l si n t ot w oa s p e c t s ：n e t w o r k s e c u r i t ya n dn e t w o r kn o d es e c u r i t y t h e s et w oa s p e c t sa r ec o r r e l a t e d ，a n dn e t w o r k n o d es e c u r i t yi st h eb a s i sf o rb u i l d i n g i n f o r m a t i o ns e c u r i t ya n di st h em o s tb a s i c p l a t f o r mf o ri n f o r m a t i o ns t o r a g e 。h o w e v e r , i ne s s e n c e i n f o r m a t i o ns e c u r i t yi st h e m a n a g e m e n to fs e c u r i t yr i s k , a n da b s o l u t es e c u r i t yd o e sn o te x i s t w ee x p e c tt ob e a b l et od e s i g nak i n do ft r u s t e dn e t w o r kn o d e ，w h i c hs h o u l da l w a y sc a r r yo u tt h e f o r e s e e a b l ea c t i o n sa c c o r d i n gt ot h eg i v e np u r p o s e s w h e nn e t w o r kn o d ei sr u n n i n gi n t h ec o n t r o l l a b l ew a y , s e c u r i t yr i s kw i l lb ec u td o w nb yt h eg r e a t e s td e g r e e ，s e c u r i t y s t a t u so ft h es y s t e mw i l l 沁p r o t e c t e d t h r o u g ht h ei n t e g r a t i o no ft h es o f t w a r ea n d h a r d w a r et e c h n o l o g y , at r u s t e ds t a r t i n gp o i n tc a nb ec r e a t e df o rs y s t e me x e c u t i o n ，a n d t h em e c h n i s m st h a tc o l l e c t ，s t o r a g ea n dm e a s u r et h es t a t u si n f o r m a t i o no ft h es y s t e m s e c u r i t yw i l lb ep r o v i d e d a f t e ra n a l y z i n gt h ec o m m o ns e c u r i t yc o m p r o m i s e so ft h e n e t w o r kn o d e s , t h i st h e s i ss u m m a r i z e st h eh i d d e ns e c u r i t yd e f e c t st h a ts e c u r i t yn o d e s n e e dt og u a r d ，p u t sf o r w a r dt h es e c u r i t ym o d e lf o rt h es e c u r i t yn o d e sa n di l l u s t r a t e s t h es o l u t i o nt ot h i ss e c u r i t ym o d e l a n df i n a l l y , e l a b o r a t e st h er e s e a r c h0 1 1t h e p r e v e n t i o nt e c h n o l o g yo f t h eo p e r a t i n gs y s t e mi nt h es e c u r i t ym o d e lo f s e c u r i t yn o d e ， d e s i g na n di m p l e m e n t a t i o no f t h ec e n t r a l i z e ds e c u r i t ym a n a g e m e n to fs e r v e r s t h em a i nr e s e a r c ha c h i e v e m e n t sa n di n n o v a t i o n so f 氆i st h e s i sa r ea sf o l l o w s ： 1 p r o p o s et h es e c u r i t ym o d e lo ft h en e t w o r k n o d e s t h e r ea r et w ok i n d so fn o d e i nn e t w o r k ,i e ，t r a n s f e rn o d ea n da c c e s sn o d e c o m m u n i c a t i o np r o c e s s o r s ， c o n c e n t r a t o r sa n dt e r m i n a lc o n t r o l l e r s 鑫豫t r a n s f e rn o d e s 。m a i n f r a m ec o m p u t e r sa n d t e r m i n a l se t c a r ea c c e s sn o d e s ，w h i c ha r et h es o u r c ea n dd e s t i n a t i o nn o d e sf o r i n f o r m a t i o nt r a n s p o r t a t i o n b e c a u s et h ea c c e s sn o d e st a k eo nt h ew o r ko fi n f o r m a t i o n s t o r a g ea n dc a k m l a t i o n ，a n di nap a r t i c u l a rc o m p l e x i t y , a l m o s t 鑫l ls e c u r i t yp r o b l e m s t a k ep l a c ei nt h ea c c e s sn o d e s t h i st h e s i sm a i n l ye x p l a i n st h ea c c e s sn o d e s ，t h a ti s ， c o m m o n l yr e f e r r e d t oa sn e t w o r kt e r m i n a l ，i n c l u d i n gt e r m i n a ld e v i c e ss u c ha s w o r k s t a t i o n sa n ds e r v e r s f i r s t l ya n a l y z i n ga l lt y p e so fa t t a c k i n gt w i s t sa n ds e c u r i t y 8 山东大学硕士学位论文 v u l n e r a b i l i t i e so fn e t w o r kn o d e s ，t h es e c u r i t ym o d e lo fn e t w o r kn o d e si sb r o u g h t f o r w a r d l e a r n i n gf r o mt h ei d e a so ft r u s t e dc o m p u t i n g ，t h en e t w o r kn o d es e c u r i t yi s s u m m a r i z e di nf o u ra s p e c t s ：p h y s i c a ls e c u r i t y , n e t w o r ks e c u r i t y , s y s t e ms e c u r i t ya n d m a n a g e m e n ts e c u r i t y i tp r o v i d e sas e c u r i t yp l a t f o r mf o ri n f o r m a t i o ns t o r a g ea n d c a l c u l a t i o nt os o l v et h em o r ec r i t i c a ls e c u r i t yt h r e a t st h ei n f o r m a t i o n s y s t e m sa r e f a c i n g 2 t o w a r dt h es e c u r i t yt h r e a t sa n dh i d d e nd e f e c t st h a te x i s ti nt h em a i n s t r e a m o p e r a t i n gs y s t e m s ，a n a l y z et h em a i na p p r o a c h e st ot h es e c u r i t yp r e v e n t i o nt e c h n o l o g y o ft h eo p e r a t i n gs y s t e m sa n dt h e i rm e r i t sa n df a u l t s ，p u tf o r w a r dt h es e c u r i t y r e i n f o r c e m e n tp r i n c i p l eo ft h eo p e r a t i n gs y s t e m b yh o o kf u n c t i o n s ，t h em a n d a t o r y a c c e s sc o n t r o lo ff i l e ，d i r e c t o r y , r e g i s t r y , p r o c e s sa n ds e r v i c ei si m p l e m e n t e d ，a n dt h e h o l i s t i cs e c u r i t yl e v e lo ft h eo p e r a t i n gs y s t e mi si m p r o v e d 3 d e s i g na n di m p l e m e n tt h ec e n t r a l i z e ds e c u r i t ym a n a g e m e n tf o rt h en e t w o r k n o d e s f i r s t , a n a l y z et h ep r o b l e m sw h i c ha r ep r e s e n ti nt h et h r e ea s p e c t so ft h e c o m p l e xs e c u r i t ym a n a g e m e n t ，c o l l e c t i o na n da n a l y s i so fs e c u r i t yi n c i d e n t s ，r e s p o n s e h a n d l i n go fs e c u r i t yi n c i d e n t s t h e n ，p u tf o r w a r d ，d e s i g na n di m p l e m e n tan e wt y p eo f h o l i s t i cs e c u r i t ys o l u t i o n ，c e n t r a l i z e ds e c u r i t ym a n a g e m e n tp l a t f o r m ，ad i s t r i b u t e d s e c u r i t ys y s t e mw h i c hc o n f i g u r e si naw h o l em o d e ，a d j u s ta n dc o n t r o lt h em u l t i - l e v e l s o ft h en o d e s ，i m p l e m e n t i n gt h ep r i v i l e g ea s s i g n m e n to ft h ei n f o r m a t i o na c c e s sf o rt h e p h y s i c a l ，n e t w o r k , s y s t e ml a y e r , c o l l e c t i v e l ym o n i t o r i n gt h ef u n c t i o n so ft h eo p e r m i o n a u d i t i n go ft h ea d m i n i s t r a t o r s ，a n a l y s i sa n ds t a t i s t i c so ft h es e c u r i t yi n c i d e n t s ，a n d m a n a g e m e n to fp o l i c i e si nau n i f i e dw a y a tl a s t ，t a k et h es e r v e r , a st h em o s tb a s i c n e t w o r kn o d e ，f o re x a m p l e ，e x p a t i a t et h es y s t e md e s i g na n di m p l e m e n t a t i o no ft h e c e n t r a l i z e ds e c u r i t ym a n a g e m e n tf o r 剐v t v e l sf r o mf o u r 。a s p e c t s ：s y s t e ma r c h i t e c t u r e ， k e r n e lm o d u l e s ( p o l i c ym a n a g e m e n t ，s e c u r i t yi n c i d e n t ) ，p e r f o r m a n c eb o t t l e n e c ka n d t e c h n o l o g i c a lp r o c e d u r e k e y w o r d s ：s e c u r i t ym o d e lo fn e t w o r kn o d e ，r e i n f o r c e m e n tp r i n c i p l eo fo s ， c e n t r a l i z e ds e c u r i t ym a n a g e m e n to f n e t w o r kn o d e 9 山东大学硕士学位论文 第一章绪论 1 1 课题研究背景和意义 1 1 1 网络安全问题及网络结点安全重要性 人们对网络安全问题及造成的危害早已认识，对其防范措施也是多种多样， 煞费苦心，但效果并不理想。据国家计算机网络应急技术处理协调中心报道，仅 2 0 0 7 年上半年，我国大陆内被植入木马的主机是去年全年的2 l 倍，被篡改的网 站数量比去年同期增加了4 倍，监测到的僵尸网络主机达5 2 0 多万。目前网络上 流行的恶意代码大多是侧重于控制操作系统而组成僵尸网络再窃取控制更多的 用户敏感信息。如“熊猫烧香”病毒在短短一个月内感染了1 1 万个i p 地址的 主机。从防火墙、入侵检测、防病毒的老三样到v p n 、u t m 、s o c 等产品，而网络 安全问题依然不断的困扰着每个信息系统的管理者和使用者。 计算机网络技术是通信技术与计算机技术相结合的产物。计算机网络是按照 网络协议，将地球上分散的、独立的计算机相互连接的集合。计算机网络由一组 结点和链路组成。网络中的结点有两类：转接结点和访问结点。通信处理机、集 中器和终端控制器等属于转接结点。主机计算机和终端等是访问结点，它们是信 息传送的源结点和目标结点。由于访问结点是承担着信息存储和运算工作，尤为 复杂，几乎所有的安全问题都出现在访问结点。本文涉及主要围绕访问节点进行 阐述，亦即通常所指的网络终端，主要包括：工作站和服务器等终端设备。 网络节点的安全随着信息技术的发展，各种计算资源通过网络进行互联与共 享不断加强，各行各业的信息化也不断加深，人们因此对计算机的依赖越来越多， 随之而来的信息安全问题也日益突出。为了抵御各种安全威胁，计算机安全界一 直都在进行着广泛的研究，制定各种安全标准，开发不同的安全产品，取得了不 少突破性技术的进展。一般对于安全可划分为：网络安全和系统安全。事实证明， 系统安全的重要性更为突出，因为终端系统是构成网络的基本元素，一个不安全 的终端系统势必通过网络连接将不安全因素扩散到整个网络中去，所以解决安全 问题，首先从解决网络结点的安全入手。 山东大学硕士学位论文 1 1 2 现有安全防御技术及其发展趋势 目前各种应用的网络结点中，对于安全需求较高的应用，为了保证客户端安 全，通常采用封闭平台：功能固定，使用嵌入式的硬件设备进行安全计算。这类 系统的功能相对单一，具备专用性。然而，为了满足多样化的需求，开放性平台 成了众多应用的首选，许多原来基于封闭性平台的应用目前也逐渐转向开放式平 台，如：视讯终端设备。开放平台可以提供通用的平台环境，方便在上面运行众 多的应用，满足不同需求，因此使用十分广泛。但正是这样的灵活性，对恶意程 序也敞开了门户，使系统的安全性大打折扣。 当前大部分信息安全系统主要是由防火墙、入侵监测和防病毒等组成。常规 的安全手段只能是在网络层设防，从网络边缘对非法用户和越权访问进行封堵， 以达到防止外部攻击的目的，而对共享网络内部的访问端不加控制，加上操作系 统自身的不安全导致应用系统的各种漏洞层出不穷，无法从根本上解决安全问 题。封堵的办法是捕捉黑客攻击和病毒入侵的特征，其特征是已发生过的滞后信 息。随着恶意用户攻击手段的变化，防护者只能把防火墙越砌越高、入侵检测越 做越复杂、恶意代码库越做越大，误报率也随之增多，从而使安全的投入不断增 加，维护与管理变得更加复杂和难以实施，而对新的攻击仍没有防御能力。因此， 对于一个远程的访问者而言，它不能也不应该对和其通信的另一端做出任何安全 性假设。 安全防御技术的发展将逐渐从被动式转向主动式。被动防御技术的代表丰要 有：防病毒技术，防火墙技术以及入侵检测技术。此类技术之所以称为被动式， 关键在于它们只能防范已知的攻击，对未知攻击无能为力。由于本文的研究重点 侧重于终端安全技术，所以就以防病毒技术为例稍加阐述。防病毒技术发展至今， 一直依赖于病毒特征码的识别技术，它的识别率很高，但识别能力非常有限，病 毒稍加变化，就必须用新的特征码才能有效识别。结果是病毒库越来越大，但永 远是滞后于新病毒的产生，失去最佳的防御时机，以至无法有效的遏制新病毒的 蔓延。要想有效地制止攻击，行为识别将是首选的解决方案。它不再针对某个具 体的恶意代码简单提取特征码，而是分析一类恶意代码的非法行为，通过查找此 类非法行为来识别恶意代码的运行，从而可以实现对未知攻击行为的防御，弥补 传统被动式防御的缺陷。主动防御的思想提出已有一段时间了，一经提出就得到 了广泛的认可，但目前更多还停留在概念的层面上，并没有成熟的产品。 1 2 山东大学硕士学位论文 1 1 3 可信计算平台 近年来出现的可信计算技术从应用程序层面，从操作系统层面，从硬件层面 来提出的t c b 。最为实用的是以硬件平台为基础的可信计算平台t c p ；它包括安 全协处理器、密码加速器、个人令牌、软件狗、可信平台模块t c m 以及增强型 c p u 、安全设备和多功能设备。这些实例的目标是实现：数据的真实性、数据的 机密性、数据保护以及代码的真实性、代码的机密性和代码的保护。从广义的角 度，可信计算平台为网络用户提供了一个更为宽广的安全环境，它从安全体系的 角度来描述安全问题，确保用户的安全执行环境，突破被动防御打补丁方式。可 信计算以及相似概念所受到的推崇，究其根本源自于日益复杂的计算环境中层出 不穷的安全威胁，传统的安全保护方法无论从构架还是从强度上来看已经力有未 逮。 目前业内的安全解决方案往往侧重于先防外后防内、先防服务设施后防终端 设施，而可信计算则反其道而行之，首先保证所有网络结点的安全性，即透过确 保安全的组件来组建更大的安全系统。可信计算平台在更底层进行更高级别防 护，通过可信赖的硬件对软件层次的攻击进行保护可以使用户获得更强的保护能 力和选择空间。传统的安全保护基本是以软件为基础附以密钥技术，事实证明这 种保护并不是非常可靠而且存在着被篡改的可能性。可信计算平台将加密、解密、 认证等基本的安全功能写入硬件芯片，并确保芯片中的信息不能在外部通过软件 随意获取。在这种情况下除非将硬件芯片从系统中移除，否则理论上是无法突破 这层防护的，这也是构建可信的计算机设备以及建立可信的计算机通信的基础。 在硬件层执行保护的另外一个优势是能够获得独立于软件环境的安全保护，这使 得可以设计出具有更高安全限制能力的硬件系统。通过系统硬件执行相对基础 和底层的安全功能，能保证一些软件层的非法访问和恶意操作无法完成，同时这 也为生产更安全的软件系统提供了支持。综合来看，可信计算平台的应用可以为 建设安全体系提供了一定完善的底层基础设施。 1 2 课题研究的主要内容和创新点 1 2 1 课题研究的主要内容和存在问题 信息安全大致可分为网络安全与网络结点安全，其中网络结点安全是构建系 统安全的基础，是信息运行与存储的基础平台。而信息安全本质上是安全风险的 1 3 山东大学硕士学位论文 管理，本文期望能够设计一种可信的网络结点：它按照预定的目的总是实施可以 预知的行为。当网络结点以这种可控的方式运行时就能最大程度地降低安全风 险，保护系统的安全状态。通过软硬两方面技术的相集成，可以为系统运行建立 了可以信任的起点，并提供了收集、存储和度量系统安全性状态信息的相关机制。 本文主要内容是通过分析网络结点各个方面常见安全威胁，安全危害后得出一个 网络结点需要防范的安全隐患，最后总结一个网络结点安全模型与解决方案。具 体对安全模型中操作系统方面安全防范理论研究和网络结点安全集中管理的技 术设计进行描述。 l 、网络结点安全模型 这里首先分析针对网络结点的各种安全威胁，网络结点的安全隐患，提出网 络结点的安全模型。借鉴可信计算的理念把安全问题归结关于网络结点安全的四 个方面：物理安全、网络安全、系统安全、管理安全。物理安全包括终端防辐 射泄漏，终端外设安全，终端硬件安全等功能。可以通过b i o s 安全技术、u s b 接口安全控制技术，终端防辐射泄漏技术实现结点外设访问控制，辐射信息控制 等安全保障；网络安全是网络结点通过网络协议与外界信息交流安全，从各种协 议安全和结点端口两个方面入手，可采用身份识别技术、访问控制技术、入侵检 测技术和数字挖掘技术对流经结点的数据进行安全防范；实现结点内外网络控制 的功能，同时可以对网络数据进行数据流分析，实时监控并记录结点之间的访问 情况；系统安全层面包括可信平台与操作系统安全，其中可信平台t c m 已经有很 多成熟的研究，这里重点说明操作系统安全技术。通过t c m 芯片对主板进行了安 全加固设计，同时采用操作系统安全加固技术提升操作系统的安全级别，从而从 底层硬件到操作系统实现了全方位的主机安全解决方案；结点安全管理方面主要 集中在网络结点应用过程和人( 与系统相对而言) 的操作执行管理，这里重点描 述用来辅助安全管理的集中管理平台，是对网络结点物理安全、网络安全、操作 系统安全、管理安全这四个层面构建一个统一的集中的安全的管理平台大致功能 介绍。 2 、操作系统安全防范技术分析 首先分析两种操作系统安全防范的主要途径及其优缺点，然后从操作系统安 全模型研究入手，重点分析操作系统安全加固的原理，即通过在操作系统内核加 1 4 山东大学硕士学位论文 置安全加固模块，分散操作系统权限，提高操作系统安全等级。分别以主流操作 系统w i n d o w s 和1 i n u x 为例，大致分析其结构模块阐述其安全加固原理。 3 、设计与实现服务器安全集中管理系统 首先从目前存在的复杂的安全管理、安全事件的收集与分析、安全事故响应 处理三个方面存在各种问题。提出需要建立一种新型的整体安全管理解决方案一 安全集中管理平台，以总体配置、调控整个结点的多层次、分布式的安全系统， 实现对网络结点中物理层，网络层，系统层的数据信息使用的权限分配，操作管 理员行为审计与安全事件的分析与统计等功能进行集中监控、统一策略管理。以 网络最基本结点服务器为例，从总体架构、核心模块( 策略管理、安全事件) 、 性能瓶颈和技术路线四方面详细阐述服务器安全集中管理的系统设计和实现。 本文不足之处是操作系统加固技术可以提高对目前主流操作系统的安全等 级，支持现有操作系统上层应用软件和数据库，其配套硬件、网络变动不大。但 操作系统提高等级有限，不能从根本上彻底解决操作系统安全问题。 1 2 2 论文的主要创新点 在本论文中主要创新点是： 1 、通过对网络结点安全的分析提出网络结点安全模型，借鉴可信计算的理 念把安全问题归结关于网络结点安全的四个方面：物理安全、网络安全、系统安 全、管理安全。其中物理安全包括终端防辐射泄漏，终端外设安全，终端硬件安 全等功能；网络安全是网络结点通过网络协议与外界信息交流安全，从各种安全 协议和结点端口两个方面入手，可采用身份识别技术、访问控制技术、入侵检测 技术和数字挖掘技术对经过网络结点的数据进行安全防范；系统安全包括可信平 台与操作系统安全。管理安全包括以上各个安全层面的身份鉴别，权限分配，操 作管理员行为审计与安全事件的分析与统计等功能的管理等功能。 2 、针对目前流行的操作系统所存在的安全威胁和安全隐患，提出操作系统 加固原理。通过钩子函数实现对文件、目录、注册表、进程和服务的强制访问控 制，增强操作系统整体安全水平。 3 、设计与实现服务器安全集中管理系统。从总体架构、核心模块( 策略管 理、安全事件) 、性能瓶颈和技术路线四方面详细阐述服务器安全集中管理的系 统设计与实现。 山东大学硕士学位论文 1 2 3 本文结构 第一章：绪论。论述了本文研究的背景和意义，介绍了本文研究领域已有的 工作和存在的问题，最后概括了本文的主要创新点。 第二章：背景知识。介绍了本文要用到的g b l 7 8 9 5 1 9 9 9 计算机信息系统 安全保护等级划分准则，通用信息技术安全评价标准( c o m m o nc r i t e r i af o ri t s e c u r i t ye v a l u a t i o n ，c c ) ，t c p i p 和s n m p 网络协议，入侵检测技术和数字挖 掘技术。 第三章：网络结点安全模型。是通过分析常见攻击手法与安全危害得出网 络结点需要防范的安全隐患，提出解决网络结点安全问题的网络结点安全模型。 把安全问题归结关于网络结点安全的四个方面：物理安全、网络安全、系统安全、 管理安全。然后对这四个方面提出解决方案与用到的各安全技术简单分析。 第四章：对于系统安全中操作系统安全问题的解决，重点对操作系统安全 加固技术进行分析。其中分别以主流操作系统w i n d o w s 和l i n u x 为例，大致分析 其结构模块阐述其安全加固原理。 第五章：集中管理平台。通过分析网络结点安全集中管理，以网络中最基 本的结点服务器为例，从服务器安全集中管理的总体架构、核心模块( 策略管理、 安全事件) 、性能瓶颈和技术路线四方面详细阐述服务器安全集中管理的系统设 计。 第六章：结论语。总结了本文的内容，提出了将来研究的工作。 1 6 山东大学硕士学位论文 第二章相关的理论基础与概念 2 1g b l7 8 9 5 - 19 9 9 计算机信息系统安全保护等级划分准则 中华人民共和国国家标准g b l 7 8 9 5 1 9 9 9 计算机信息系统安全保护等级划 分准则于1 9 9 9 年1 0 月正式颁布，并于2 0 0 1 年1 月1 日正式实施，该安 全准则将计算机信息系统安全保护能力划分为五个等级 1 ，分别为： 第一级：用户自主保护级； 第二级：系统审计保护级； 第三级g 安全标记保护级； 第四级：结构化保护级； 第五级：访问验证保护级。 计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。 2 1 1 第一级用户自主保护级 本级的可信计算基通过隔离用户与数据，使用户具备自主安全保护的能力。 它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段， 保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。具体表现在如 下几个方面： ( 1 ) 可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制 ( 例如：访问控制表) 允许命名用户以用户和( 或) 用户组的身份规定并控制客 体的共享；阻止非授权用户读取敏感信息； ( 2 ) 可信计算基初始执行时，首先要求用户标识自己的身份，并使用保护 机制( 例如：口令) 来鉴别用户的身份，阻止非授权用户访问用户身份鉴别数据； ( 3 ) 可信计算基通过自主完整性策略，阻止非授权用户修改或破坏敏感信 息。 2 1 2 第二级系统审计保护级 与用户自主保护级相比，本级的可信计算基于实施了粒度更细的自主访问控 制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为它 增加了客体重用以及安全审计方面的内容，并进一步增强了自主访问控制以及身 份鉴别机制，具体表现在： 1 7 山东大学硕士学位论文 ( 1 ) 自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访 问客体。访问控制的粒度是单个用户。控制访问权限扩散，没有存取权的用户只 允许由授权用户指定对客体的访问权； ( 2 ) 通过为用户提供唯一标识、可信计算基能够使用户对自己的行为负责。 可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力； ( 3 ) 在可信计算基的空闲存储客体空间中，对客体初始指定、分配或再分 配一个主体之前，撤销该客体所含信息的所有授权。当主体获得对一个已被释放 的客体的访问权时，当前主体不能获得原主体活动所产生的任何信息； ( 4 ) 可信计算基能创建和维护受保护客体的访问审计跟踪记录，并能阻止 非授权的用户对它访问或破坏。可信计算基能记录下述事件：使用身份鉴别机制； 将客体引入用户地址空间( 例如：打开文件、程序初始化) ；删除客体；由操作 员、系统管理员或( 和) 系统安全管理员实施的动作，以及其他与系统安全有关 的事件。对于每一事件，其审计记录包括：事件的日期和时间、用户、事件类型、 事件是否成功。对于身份鉴别事件，审计记录包含的来源( 例如：终端标识符) ； 对于客体引入用户地址空间的事件及客体删除事件，审计记录包含客体名。对 不能由可信计算基独立分辨的审计事件，审计机制提供审计记录接口，可由授权 主体调用。这些审计记录区别于可信计算基独立分辨的审计记录。 2 1 3 第三级安全标记保护级 本级的可信计算基具有系统审计保护级所有功能。此外，还提供有关安全策 略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标 记输出信息的能力；消除通过测试发现的任何错误。它增加了强制访问控制机制、 具体表现在： ( 1 ) 可信计算基对所有主体及其所控制的客体( 例如：进程、文件、段、 设备) 实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分 类和非等级类别的组合，它们是实施强制访问控制的依据。可信计算基支持两种 或两种以上成分组成的安全级。可信计算基控制的所有主体对客体的访问应满 足：仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类，且主体 安全级中的非等级类别包含了客体安全级中的全部非等级类别，主体才能读客 体；仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类，且主体 安全级中的非等级类别包含了客体安全级中的非等级类别，主体才能写一个客 1 8 山东大学硕士学位论文 体。可信计算基使用身份和鉴别数据，鉴别用户的身份，并保证用户创建的可信 计算基外部主体的安全级和授权受该用户的安全级和授权的控制； ( 2 ) 可信计算基应维护与主体及其控制的存储客体( 例如：进程、文件、 段、设备) 相关的敏感标记。这些标记是实施强制访问的基础。为了输入未加安 全标记的数据，可信计算基向授权用户要求并接受这些数据的安全级别，且可由 可信计算基审计； ( 3 ) 在审计记录的内容中，对于客体引入用户地址空间的事件及客体删除 事件，审计记录包含客体名及客体的安全级别。此外，可信计算基具有审计更改 可读输出记号的能力。 ( 4 ) 在网络环境中，使用完整性敏感标记来确信信息在传送中未受损。 2 1 4 第四级结构化保护级 本级的可信计算基建立于一个明确定义的形式化安全策略模型之上，它要求 将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑 隐蔽通道。本级的可信计算基必须结构化为关键保护元素和非关键保护元素。可 信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整 的复审。加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理； 增强了配置管理控制。系统具有相当的抗渗透能力。非必要的代码；在设计和实 现时，从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能；扩充 审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有 很高的抗渗透能力。增加的内容主要表现在如下几个方面： ( 1 ) 在审计方面，可信计算基包含能够监控可审计安全事件发生与积累的 机制，当超过阈值时，能够立即向安全管理员发出报警。并且，如果这些与安全 相关的事件继续发生或积累，系统应以最小的代价中止它们； ( 2 ) 可信路径上的通信只能由该用户或可